Законодательная и нормативно-правовая база защиты информации в Российской Федерации.

Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации в соответствии со ст.3 «Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»,

Функционирование государственной системы защиты информации обеспечивается следующими основными законами:

• Конституция Российской Федерации

• ФЗ «О безопасности»

• ФЗ «О государственной тайне»

• ФЗ_«Об информации, информатизации и защите информации»

• ФЗ «Об участии в международном информационном обмене»

• Доктрина информационной безопасности Российской Федерации

• Положение_ о_ государственной __системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по_ технически _(утверждено__ Постановлением _Совета_Министров

Правительства Российской Федерации от 15 сентября 1993 г. №912-51)

• Указы президента_Российской Федерации (№1085 от 16.8.2004 г.)

• Постановления правительства Российской Федерации

• Другие правовые акты федеральных органов власти в области защиты информации

В Российской Федерации такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.

Что касается ведомственных нормативных актов, то они оп­ределяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках оп­ределенных структур (рис.2).

Современные условия требуют и определяют не­обходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой за­конов и правовых актов Российской Федерации.

Требования информационной безопасности должны органически включаться во все уровни законо­дательства, в том числе и в конституционное зако­нодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие. В литературе приводится такая структура правовых актов, ориентированных на правовую защи­ту информации.

Первый блок — конституционное законодатель­ство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.

Второй блок — общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатиза­ции и информационной безопасности.

Третий блок — законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и опреде­ляющие их статус. Они включают отдельные нормы по вопросам защиты информации.

Четвёртый блок – специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защи­те информации». Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.

Пятый блок — законодательство субъектов Россий­ской Федерации, касающееся защиты информации.

Шестой блок — подзаконные нормативные акты по защите информации.

Седьмой блок — это правоохранительное законо­дательство России, содержащее нормы об ответствен­ности за правонарушения в сфере информатизации.

Специальное законодательство в области безопас­ности информационной деятельности может быть представлено совокупностью законов.

Особое место принадлежит базовому Закону «Об ин­формации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной дея­тельности:

• информации и информационных систем;

• субъектов — участников информационных про­цессов;

• правоотношений производителей — потребителей информационной продукции;

• владельцев (обладателей, источников) информа­ции — обработчиков и потребителей на основе отношений собственности при обеспечении гаран­тий интересов граждан и государства.

Этот закон определяет основы защиты информа­ции в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки дан­ных государственного назначения, порядка государ­ственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гаран­тий прав участников информационного процесса.

В дополнение к базовому закону в мае 1992 г. были приняты Законы:

«О правовой охране программ для электронно-вычислительных машин и баз данных» и

«О правовой охране топологии интегральных микросхем».

Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наря­ду с традиционными базами данных топологии интег­ральных микросхем и программы для ЭВМ.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах:

- О государственной тайне

- О коммерческой тайне.

Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна»:.

1. Информация составляет служебную или коммер­ческую тайну в случае, когда информация имеет действительную или потенциальную коммерчес­кую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предус­мотренными настоящим кодексом и другими зако­нами.

Вторая часть статьи 139 ГК РФ определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба.

Звучит это так:

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерчес­кую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на Контрагентов, сделавших это вопреки гражданско-правовому договору».

Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (см. таблицу 1).

Таблица 1.

КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ

документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

ЛИЧНАЯ

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие иденти­фицировать его личность (персональные данные), за исключением сведений, подлежащих распро­странению в средствах массовой информации в установленном порядке

СУДЕБНО-СЛЕДСТВЕННАЯ

Сведения, составляющие тайну следствия и судопроизводства

СЛУЖЕБНАЯ

Служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна)

ПРОФЕССИОНАЛЬНАЯ

Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых от­правлений, телеграфных и иных сообщений и др.)

КОММЕРЧЕСКАЯ

Сведения, связанные с коммерческой деятель­ностью, доступ к которым ограничен законами (коммерческая тайна)

ПРОИЗВОДСТВЕННАЯ

Сведения о сущности изобретения полезной мо­дели или промышленного образца до официальной публикации информации о них

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного ис­полнителя, определяющих перечень сведений, подле­жащих охране, и меры ответственности за их разгла­шение.

Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно пред­назначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кра­жи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: раз­глашение, утечка и несанкционированный доступ к конфиденциальной информации.

Целью страхования является обеспечение страхо­вой защиты физических и юридических лиц от стра­ховых рисков в виде полного или частичного возме­щения ущерба и потерь, причиненных стихийными |действиями, чрезвычайными происшествиями в раз­личных областях деятельности, противоправными дей­ствиями со стороны конкурентов и злоумышленников путём выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступ­лении страхового события.

В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности.

Закон «О страховании» дает следующее понятие страхования: «Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определен­ных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов.

Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

1. ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при её обработке СВТ». (ПЭМИН — побочные электромагнитные излучения и наводки.)

2. ГОСТ Р 50752 «Информационная технология. За­щита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техни­ки. Методы испытаний».

2. Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.

2. Специальные требования и рекомендации по за­щите объектов ЭВТII и III категории от утечки ин­формации за счет ПЭМИН.

Действия по защите информации от несанкциони­рованного доступа (НСД) регламентирует - Постанов­ление Правительства РФ от 15.09.93 № 912-51 «Поло­жение о государственной системе защиты информа­ции от иностранной технической разведки и от утечки по техническим каналам»,

Также эти действия регламентируют Указы Президента РФ:

- «О создании государственной технической комис­сии при Президенте РФ» (от 05.01.92 № 9);

- «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644);

- «О ме­рах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифроваль­ных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334);

- «Поло­жение о государственной системе защиты информа­ции в Российской Федерации».

Правовыми документами являются и государ­ственные стандарты на информационную деятель­ность с учетом обеспечения ее безопасности, в час­тности:

- ГОСТ Р 50739-95 «СВТ. Защита от НСД к ин­формации»;

- ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

- ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной под­писи на базе асимметрического криптографического алгоритма»;

ГОСТ Р.34.11-94 «Функция хэширова­ния»;

ГОСТР.В.50170-92 «Противодействие ИТР. Тер­мины и определения».

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые докумен­ты, ориентированные на обеспечение информацион­ной безопасности.

К таким документам относятся:

• Положение о сохранении конфиденциальной ин­формации;

• Перечень сведений, составляющих конфиденци­альную информацию;

• Инструкция о порядке допуска сотрудников к све­дениям, составляющим конфиденциальную инфор­мацию;

• Положение о специальном делопроизводстве и документообороте;

• Перечень сведений, разрешенных к опубликова­нию в открытой печати;

• Положение о работе с иностранными фирмами и их представителями;

• Обязательство сотрудника о сохранении конфи­денциальной информации;

• Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на пре­дупреждение случаев неправомерного оглашения (раз­глашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.

В зависимости от характера информации, ее дос­тупности для заинтересованных потребителей, а так­же экономической целесообразности конкретных за­щитных мер могут быть избраны следующие формы защиты информации:

• патентование;

• авторское право;

• признание сведений конфиденциальными;

• товарные знаки;

• применение норм обязательственного права.

Существуют определенные различия между автор­ским правом и коммерческой тайной:

• - Авторское право защищает только форму выражения идеи.

• - Коммер­ческая тайна относится непосредственно к содержанию.

Авторское право защищает от копирования не­зависимо от конфиденциальных отношений с владель­цем. К авторскому праву прибегают при широкой публикации своей информации, в то время как ком­мерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом, коммер­ческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.

Помимо вышеизложенных форм правовой защи­ты и права принадлежности информации находит ши­рокое распространение официальная передача права на пользование ею в виде лицензии.

Лицензия — это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, вклю­чая внешнеторговые операции (ввоз и вывоз) и предо­ставление права использовать защищенные патента­ми изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.